Czym jest RODO?

RODO to unijne Rozporządzenie Ogólne o Ochronie Danych Osobowych, czyli akt prawa unijnego, który będzie obowiązywał we wszystkich krajach Unii Europejskiej – w tym w Polsce. Wchodzi w życie 25 maja 2018 r. i dotyczy praktycznie każdego z nas – ponieważ w zamierzeniu ma chronić każdą osobę fizyczną, której dane osobowe są przetwarzane.

Intuicja podpowiada, że dane osobowe to bez wątpliwości imię, nazwisko, numer PESEL, czy inny numer identyfikacyjny. Czym jednak dokładnie są dane osobowe? W RODO dane osobowe zostały zdefiniowane jako „informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej”.

Warto na samym początku zauważyć, że dane osobowe odnoszą się więc tylko do osób fizycznych. Osobą fizyczną jest każdy człowiek od momentu urodzenia aż do śmierci – niezależnie od wieku, pełnoletniości, czy ewentualnego ubezwłasnowolnienia.

W RODO dane osobowe określone są jako w szczególności, obok imienia i nazwiska oraz numeru identyfikacyjnego, dane o lokalizacji (na przykład z GPS), identyfikator internetowy (adres e-mail, login, nick). Ponadto, RODO konstruuje jeszcze jeden przykład danej osobowej, jaką jest „czynnik określający fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej”. Interpretacja tego pojęcia może przysparzać niemałych problemów.

Warto zatem zastanowić się, co jeszcze może być uznane za dane osobowe?
Wizerunek
• Informacja o szczególnych cechach wyglądu
• Historia przebytych chorób
• DNA
• Numer rachunku bankowego
• Numer telefonu
• Informacja o ścieżce edukacyjnej lub doświadczeniu zawodowym
(np. w CV)
Pod warunkiem, że przy wykorzystaniu tych informacji możliwe jest ustalenie tożsamości osoby fizycznej.

Wiemy już zatem, co w założeniach chronić ma RODO – dane osobowe identyfikujące lub pozwalające na zidentyfikowanie jakiegokolwiek człowieka. Kwestie ochrony danych osobowych do tej pory regulowała ustawa o ochronie danych osobowych. Skąd zatem potrzeba wprowadzania spójnego na terenie całej Unii Europejskiej prawa dotyczącego tego zagadnienia? Dlaczego RODO jest tak wielką rewolucją – i czy jest nią na pewno?

RODO – jak większość rozporządzeń unijnych – ma na celu ujednolicać prawo, tworzyć wspólne standardy prawne dla wszystkich krajów Unii. W ślad za unifikacją idzie budowa pewnych standardów – które stanowią minimum ochrony. Nie ma przeciwwskazań, aby państwo członkowskie chroniło dane osobowe – czy inne wartości regulowane rozporządzeniami unijnymi – w większym stopniu. Nie może jednak zaniżać wspólnego dla wszystkich krajów UE standardu.

RODO znacząco podnosi poziom ochrony danych osobowych – przynajmniej takie są jego założenia. Jest odpowiedzią na coraz częściej pojawiające się problemy – występujące globalnie, takie jak ataki hakerskie, kradzieże tożsamości, nieuprawniony handel danymi osobowymi, wszechobecny chaos informacyjny, czy bezprawne wykorzystywanie wizerunku, bądź innych danych przez – głównie – portale internetowe.

Co więc RODO w ochronie danych osobowych zmienia?

Na naszym „podwórku” odczuwalnych będzie wiele zmian wprowadzanych przez Rozporządzenie. Spośród wielu aspektów regulowanych przez ten akt prawny, warto przyjrzeć się kilku szczególnie ważnym dla każdego z nas i w kilku zdaniach je opisać.

1. Prawo do bycia zapomnianym i inne prawa
RODO jest pierwszym aktem prawnym obowiązującym w Polsce, który wprost formułuje tzw. „prawo do bycia zapomnianym”. Jest to uprawnienie, które pozwala na żądanie od administratora danych osobowych usunięcia wszelkich danych z bazy. Co to oznacza w praktyce? Na przykład, po wpisaniu naszego imienia i nazwiska w wyszukiwarce Google, w odniesieniu do większości z nas, pojawiają się zdjęcia, profil na portalu społecznościowym, zakładane wcześniej konta. Wśród tych informacji mogą znajdować się takie, z których nie jesteśmy do końca dumni i chcemy, żeby nikt nie mógł ich zobaczyć. Na mocy RODO będziemy mogli zobowiązać serwis do usunięcia tych informacji.
RODO przyznaje też każdej osobie fizycznej wgląd we wszelkie dane, jakie są o niej gromadzone, zmianę ich, czy przeniesienie do innego administratora danych osobowych.

2. Koniec z „dzikim” profilowaniem
Na mocy Rozporządzenia znacząco utrudnione będzie automatyczne przetwarzanie danych osobowych do celów analitycznych czy prognostycznych. Obecnie wiele firm zbiera o nas dane, z czego na co dzień nie zdajemy sobie sprawy. Dzięki polityce plików cookies (w dużym uproszczeniu), otrzymujemy spersonalizowane reklamy; banki i firmy kredytowe wiedzą, na co – statystycznie – wydajemy najwięcej pieniędzy, tym samym mogąc automatycznie sporządzić prognozę naszych dalszych wydatków, czy ocenę zdolności kredytowej, itd. Od wejścia w życie RODO profilowanie, czyli automatyczne zbieranie i przetwarzanie danych w celach analitycznych i prognostycznych będzie znacząco utrudnione i przez to w wielu przypadkach nieopłacalne.

3. Minimalizacja przetwarzanych danych
RODO nakłada na przedsiębiorców obowiązek ograniczania przetwarzanych danych. Od wejścia w życie RODO firmy będą mogły gromadzić tylko te dane, które są jej niezbędne do dokonywania określonych czynności. Oznacza to, że – przykładowo – zawierając umowę abonamentową na telefon komórkowy, operator nie będzie mógł żądać od nas podania imion rodziców, miejsca pracy, czy załączenia dokumentu ze zdjęciem – gdyż te dane nie są mu niezbędne do zawarcia i wykonywania umowy abonamentowej.

4. Prostota języka zgód marketingowych
Od wejścia w życie RODO zgody na przetwarzanie danych osobowych będą musiały być sporządzone w prostej i przystępnej formie, tak by były zrozumiałe dla odbiorcy. RODO oznacza zatem koniec umów, do których załączone są wielostronicowe załączniki z różnego rodzaju klauzulami dotyczącymi przetwarzania danych osobowych.

5. RODO obowiązuje nie tylko unijne firmy
Przepisy Rozporządzenia znajdują zastosowanie nie tylko wobec firm mających swoją siedzibę na terenie państw członkowskich Unii Europejskiej. Szczególne zasady ochrony danych osobowych dotyczą każdego, kto zbiera i przetwarza dane osobowe osób przebywających na terenie UE, a ich wykorzystanie związane jest z monitorowaniem zachowania tych osób lub z oferowaniem im usług bądź towarów. Oznacza to, że obowiązek przestrzegania RODO ma nie ominąć firm takich jak Google, Apple, czy Facebook.

To tylko część zakresu, który reguluje wchodzące niebawem w życie (25 maja 2018 r.) Rozporządzenie Ogólne o Ochronie Danych Osobowych. Akt ten ma chronić jakże ważne dla każdego człowieka wartości – przede wszystkim prywatność. Rozporządzenie to ma wielu zwolenników, jednak pojawiają się wobec niego również głosy sceptyczne. Przede wszystkim zarzuca mu się niewykonalność przepisów oraz brak dostatecznej precyzji regulacji. O tym, jednak, czy RODO osiągnie zamierzone cele, przekonamy się zapewne dopiero za kilka miesięcy. Do tematu RODO i – szerzej – ochrony danych osobowych z pewnością będziemy jeszcze wracać.

Autor: Mateusz Marchewka